WordPress prinudno ažurira WooCommerce dodatak

AUTOR ·

WordPress prinudno ažurira WooCommerce dodatak koji broji preko 500.000 instalacija kako bi zaštitili korisnike od skoro otkrivene kritične ranjivosti.

WordPress prinudno ažurira WooCommerce

WordPress prinudno ažurira WooCommerce dodatak; Dizajn: Saša Đurić

Prinudno ažuriranje

Kompanija Automattic koja stoji iza WordPress sistema upravljanja sadržajem je pokrenula prinudno sigurnosno ažuriranje na hiljadama Internet stranica koje koriste veoma popularan dodataka WooCommerce Payments za Internet prodavnice. Dodatak nudi potpuno integrisano rješenje za Internet plaćanje na WordPress Internet stranicama, što ga čini veoma interesantnom metom za zlonamjerne aktere koji žele da iskoriste njegove ranjivosti.

„Istražili smo prijavu ranjivosti kako bismo provjerili da li ima bilo kakvog kompromitovanja ili eksploatacije podataka i nismo našli nikakve dokaze o zloupotrebi osim našeg internog bezbjednosnog testiranja. Napravili smo rješenje i radili sa WordPress.org timom za dodatke kako bismo automatski ažurirali WooCommerce Payments verzije od 4.8.0 do 5.6.1 na ažurirane verzije.“

WooCommerce

Ranjivost i njen potencijalni uticaj?

 Ova sigurnosna ranjivost bi mogla da ima ozbiljne posljedice za ugrožene Internet stranice u situaciji kada bi zlonamjerni akter ubacio zlonamjerni kôd u sam dodatak. U tom slučaju, napadač bi mogao da pokreće proizvoljne komande na pogođenoj Internet stranici uz potencijalnu mogućnost dobijanja potpunog pristupa bazi podataka i datotekama na Internet stranici. To znači da napadač može bez provjere identiteta da preuzme Internet lokaciju tako što će se predstaviti kao administrator i to sve bez ikakve interakcije sa korisnikom.

Uticaj ovakve ranjivosti je ozbiljan, jer može dovesti do pristupa osjetljivim informacijama kao što su podaci o klijentima, informacije o plaćanju i drugim povjerljivim podacima. To može dovesti do povrede podataka i finansijskih gubitaka za preduzeća i njihove klijente.

Brza ažuriranja su kritična za održavanje bezbjednosti Internet stranice i zaštitu od poznatih ranjivosti, jer napadači stalno traže ranjivosti popularnih dodataka i softvera koje mogu iskoristiti. Vlasnici Internet stranica koji ne ažuriraju svoje dodatke i softver su u većem riziku da budu kompromitovani od strane napadača, jer se poznate ranjivosti često javno otkrivaju, a napadači mogu lako da pronađu Internet stranice koji nisu ažurirani i da ih iskoriste.

Brza ažuriranja su takođe neophodna za održavanje stalne bezbjednosti Internet stranica. Programeri dodataka i softvera redovno objavljuju ažuriranja kako bi se pozabavili poznatim ranjivostima, poboljšali performanse i predstavili nove funkcije. Vlasnici Internet stranica koji ne ažuriraju svoje dodatke i softver propuštaju ove prednosti, što bi njihove Internet stranice moglo da dovede u nepovoljan položaj.

security

Security – Image by Werner Moser from Pixabay

Zaštita korisnika

U cilju zaštite korisnika platforma WooCommerce Payments je u saradnji sa WordPress.org pokrenula obavezno ažuriranje za Internet stranice koje koriste verzije 4.8.0. do 5.6.1 ovog dodataka. Ažuriranje je obavezno i biti će primijenjeno iako su vlasnici Internet stranice onemogućili automatsko ažuriranje.

S obzirom da je ranjivost sada poznata u javnosti, najvažnije je da sve Internet stranice koje koriste verziju 4.8.0 ili noviju, izvrše ručno ažuriranje ovog dodatka kako bi se izbjegle moguće povrede podataka. Za sve Internet stranice koje se nalaze na Pressable, WPVIP i WordPress.com pružocima usluga, ovaj dodatka je automatski deaktiviran, što je umanjilo problem.

 

Preporuke za korisnike

Korisnici koji imaju WordPress instalacije na svojim serverima, treba da odmah ažuriraju svoje dodatke kako bi zaštitili svoje Internet prodavnice uz sljedeće preporuke:

  • Napraviti rezervnu kopiju Internet lokacije. Pre bilo kakvog ažuriranja ili modifikacije, neophodno je napraviti potpunu rezervnu kopiju Internet lokacije, uključujući datoteke i baze podataka.
  • Ažuriranje dodataka WooCommerce Payments. Za instalaciju najnovije, bezbjedne verzije, potrebno je otići na WordPress kontrolnu tablu, kliknuti na “Plugins” i pronaći dodatak WooCommerce Payments i kliknuti na “Update”.
  • Provjera korisničkih naloga. Potrebno je provjeriti da li ima sumnjivih korisničkih naloga ili neovlaštenih promjena napravljenih na Internet lokaciji. Po potrebi iste je potrebno ukloniti ili poništiti.
  • Nadgledanje aktivnosti. Redovno provjeravati evidencije aktivnosti na Internet lokaciji kao bi se na vrijeme uočili znakovi neovlaštenog pristupa. Takođe je potrebno podesiti mehanizme upozorenja kako bi dolazila upozorenja o bilo kakvoj neovlaštenoj aktivnosti.
  • Dodatne mjere bezbjednosti. Razmisliti o korištenju dodatnog bezbjednosnog dodatka kao što je Wordfence ili Sucuri u cilju poboljšanja bezbjednosti Internet lokacije.

 

Zaključak

Važno je napomenuti da WooCommerce ostaje sigurna platforma. U rijetkim situacijama kao što je ova, jasno je vidljiv značaj aktiviranja automatskih ažuriranja kako bi se zaustavile bezbjedne ranjivosti. U ovom slučaju, tim za bezbjednost WooCommerce je brzo reagovao na rješavanju ovog problema, pa korisnicima ostaje samo da primjene ažuriranja.

Ova ranjivost je podsjetnik na značaj sajber bezbjednosti na Internetu. S obzirom na to da se veliki broj poslovnih organizacija oslanja na Internet platforme da bi dosegli klijente i obradili plaćanja, od suštinske je važnosti da vlasnici Internet stranica ostanu oprezni i preduzmu brze mjere kako bi riješili sve propuste koji se mogu pojaviti.

Vlasnici Internet stranica koji koriste WooCommerce Payments ili bilo koji drugi dodatak ili softver treba da preduzmu korake kako bi osigurali da su njihove Internet lokacije bezbjedne, uključujući korištenje jakih lozinki, redovno ažuriranje dodataka i softvera i nadgledanje svojih Internet stranica za bilo kakvu sumnjivu aktivnost.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.